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MICROPROCESSEUR SECURISE COMPRENANT UN SYSTEME 
D' ATTRIBUTION DE DROITS A DES LIBRAIRIES 

La presente invention concerne les microprocesseurs 
et plus particulierement les microprocesseurs securises. 

Les microprocesseurs securises sont frequemment 
utilises dans les applications ou il est necessaire 

5 d'interdire l'acces a certaines donnees ou programmes 
conf identiels . Ainsi, par exemple, les cartes a puce sont 
generalement equipees de microprocesseurs securises afin 
de proteger les zones memoire qui comprennent des codes 
conf identiels ou des algorithmes de cryptographie . 

10 De fagon classique, la securisation d'un 

microprocesseur est assuree par un systeme de controle 
d'adresses verifiant que le programme en cours 
d' execution est habilite a adresser certaines zones 
memoire pour des operations de lecture, d'ecriture, de 

15 saut ou de branchement . Un tel systeme comprend 
generalement une table d 1 attribution de droits qui regoit 
sur une premiere entree un code d ' identification du 
programme en cours d' execution et sur une seconde entree 
un code d ' identification de la zone memoire en cours 

20 d'adressage, correspondant a l'adresse courante presente 
sur le bus d'adresse du microprocesseur. S'il est prevu 
dans la table que la zone memoire en cours d'adressage 
est accessible au programme en cours d' execution, la 
table delivre un signal d * autorisation . Dans le cas 

25 contraire, la table ne delivre pas le signal 
d ' autorisation et un signal de violation d'adresse est 
emis . 

Un tel systeme de controle d'adresses permet de 
faire cohabiter de fagon securisee divers programmes dans 
30 le plan memoire d'un microprocesseur, en attribuant des 
droits differents a chacun des programmes. Ces divers 
programmes correspondent generalement a des applications 



2 



differentes du microprocesseur, prevues par le 
constructeur . 

La securisation d'un microprocesseur a toutefois un 
effet negatif sur 1 ' organisation du plan memoire en ce 
5 qu'elle cloisonne le plan memoire en diverses parties 
"etanches" les unes relativement aux autres, chaque 
partie etanfe reservee a une application. Or, il est 
frequent que des programmes prevus pour des applications 
differentes comprennent des etapes de calcul similaires 

10 qui pourraient etre centralisees dans une zone commune en 
tant que " librairie" , une librairie designant dans le 
langage de 1 ' homme de 1 ' art un ou plusieurs sous- 
programmes partages par plusieurs programmes. 

Cette methode classique de centralisation sous 

15 forme de librairie de parties de programme communes a 
plusieurs programmes est generalement prohibee avec les 
microprocesseurs securises en raison des problemes de 
securite qu'elle entraine. A titre d'exemple, supposons 
qu'un programme PGA beneficie de droits pour acceder a 

20 une zone "X" du plan memoire, et qu'un programme PGB 
beneficie de droits pour acceder a une zone "Y" distincte 
de "X" . La prevision d'un sous -programme partage par les 
programmes PGA et PGB entraine la question de savoir 
quels sont les droits qui doivent etre conferes au sous- 

25 programme. Si le sous -programme doit pouvoir lire ou 
ecrire des donnees dans la zone "X" lorsqu'il est appele 
par le programme PGA et lire ou ecrire dans la zone "Y" 
lorsqu'il est appele par le programme PGB, il faut 
conferer au sous -programme les droits cumules des 

30 programmes PGA et PGB, c'est-a-dire des droits sur la 
zone "X" et sur la zone "Y" . Toutefois, le programme PGB 
ou un programme f rauduleux charge a 1 ' emplacement du 
programme PGB pourrait utiliser le sous -programme pour 
acceder a la zone "X 1 * reservee au programme PGA, et 

35 reciproquement . La prevision d'un sous -programme partage 
par deux programmes ayant des droits d'acces differents 
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au plan memoire constitue done une breche dans le 
cloisonnement du plan memoire. 

La presente invention vise a pallier cet 
inconvenient . 

5 Plus particulierement , la presente invention vise 

un moyen permettant de prevoir des sous -programmes 
partages par plusieurs programmes sans porter atteinte a 
l'integrite des droits conferes a chacun des programmes. 

Cet object if est atteint par la prevision d'un 

10 microprocesseur securise comportant un systeme pour 
attribuer a des programmes executables par le 
microprocesseur des droits permanents d'acces a certaines 
zones du plan memoire du microprocesseur, dans lequel le 
systeme d ' attribution de droits comprend des moyens pour 

15 conferer a un sous -programme partage par au moins deux 
programmes des droits temporaires d'acces a certaines 
zones memoire lorsque le sous -programme est appele par 
l'un des programmes, 1 * etendue des droits temporaires 
etant fonction du programme appelant le sous -programme . 

20 Selon un mode de realisation, le systeme 

d ' attribution de droits comprend des moyens pour conferer 
temporairement a un sous -programme les droits du 
programme appelant . 

Selon un mode de realisation, le systeme 

25 d 1 attribution de droits comprend des moyens pour conferer 
en outre a un sous -programme des droits permanents 
independants de ceux du programme appelant. 

Selon un mode de realisation, le systeme 
d 1 attribution de droits comprend : une table 

30 d ' attribution de droits agencee pour recevoir sur une 
premiere entree un code d ' identification d'un programme 
ou d'un sous -programme et sur une deuxieme entree un code 
d 1 identification des zones memoire designees par les 
adresses courantes circulant sur le bus d'adresse du 

35 microprocesseur ; et des moyens pour appliquer sur la 
premiere entree de la table d ' attribution de droits, 
pendant 1 'execution d'un sous -programme, un code 
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d 1 identification du programme ayant appele le sous- 
programme . 

Selon un mode de realisation, le systeme 
d ' attribution de droits comprend des moyens pour 
5 appliquer simultanement sur la premiere entree de la 
table d ' attribution de droits, pendant 1' execution d'un 
sous -programme, un code d ' identification du sous- 
programme en cours d' execution et un code 
d 1 identification du programme ayant appele le sous 

10 programme . 

Selon un mode de realisation, des bits du code 
d ' identification du sous -programme en cours d'execution 
et des bits du code d ' identification du programme ayant 
appele le sous programme sont combines par une fonction 

15 logique avant d'etre appliques sur la premiere entree de 
la table d ' attribution de droits. 

Selon un mode de realisation, le systeme 
d * attribution de droits comprend : un premier verrou pour 
stocker pendant 1 ' execution d'une instruction le code 

20 d ' identification du programme ou du sous -programme en 
cours d'execution, et un second verrou ayant son entree 
reliee a la sortie du premier verrou, agence pour stocker 
le code d ' identification d'un programme en cours 
d'execution lorsque le microprocesseur bascule dans un 

25 sous -programme , pour former le code d ' identification du 
programme ayant appele le sous -programme, le second 
verrou etant remis a zero lorsque le microprocesseur 
quitte le sous -programme . 

Selon un mode de realisation, le chargement et la 

30 remise a zero du deuxieme verrou sont controles par un 
decodeur d'adresse recevant en entree les adresses 
courantes circulant sur le bus d'adresse, agence pour 
appliquer un signal de chargement au second verrou 
lorsque l'adresse de la premiere instruction d'un sous- 

35 programme est detectee, et delivrer au second verrou un 
signal de remise a zero lorsque l'adresse de la derniere 
instruction du sous -programme est detectee. 
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Selon un mode de realisation, les codes 
d ' identification des zones memoire designees par les 
adresses courantes et les codes d 1 identification des 
programmes et sous -programmes en cours d* execution sont 
5 delivres par un decodeur d'adresse recevant en entree les 
adresses courantes circulant sur le bus d'adresse. 

Selon » un mode de realisation, le systeme 
d ' attribution de droits emet un signal de violation quand 
une adresse presente sur le bus d'adresse ne correspond 
10 pas aux droits attribues de fagon permanente ou 
temporaire au programme ou sous -programme en cours 
d 1 execution . 

Selon un mode de realisation, le signal de 
violation d'adresse est traite par un decodeur 
15 d ' interruption pour envoyer le microprocesseur dans un 
sous -programme de traitement des violations d'adresse. - 

Ces objets, caracteristiques et avantages ainsi que 
d'autres de la presente invention seront exposes plus en 
detail dans la description suivante d'un exemple de 
20 realisation d'un microprocesseur selon 1' invention, faite 
a titre non limitatif en relation avec les figures 
jointes parmi lesquelles : 

la figure 1 represente sous forme de bloc un 
microprocesseur comprenant un systeme de gestion de 
25 droits selon 1* invention, 

la figure 2 represente le plan memoire du 
microprocesseur et illustre un exemple d ■ application du 
systeme de gestion de droits selon I 1 invention, 

- la figure 3 represente un exemple de realisation d'une 
30 table d * attribution de droits en relation avec 1 1 exemple 

illustre en figure 2, et 

- les figures 4 et 5 representent schematiquement deux 
autres exemples de realisation d'une table d * attribution 
de droits selon 1' invention. 

35 La figure 1 represente sous forme de bloc un 

microprocesseur MP pourvu d'une memoire morte MEM1 (ROM) , 
d'une memoire effagable et programmable electriquement 



6 



MEM2 (EEPROM) et d'une memoire vive MEM3 (RAM) . Ces 
diverses memoires sont reliees au microprocesseur par 
1 1 intermediaire d'un bus d'adresse 1 et d'un bus de 
donnees 2, et forment ensemble le plan memoire du 
5 microprocesseur . 

Selon 1 1 invention, le microprocesseur MP comprend 
un systeme d 1 attribution de droits 10 qui confere a des 
sous -programmes des droits d'acces variables en fonction 
du programme appelant. 
10 Le systeme 10 comprend deux decodeurs d'adresse 

DEC1, DEC2 connectes en entree au bus d'adresse pour 
recevoir les adresses courantes ADR circulant sur le bus 
d'adresse. Le decodeur DEC1 delivre un code CIM 
d 1 identification de zones memoire du type : 

15 

CIM = bO bl. . .bn bn+1. . .bm 

dans lequel chaque bit est af fecte a 1 ' identification 
d'une zone memoire predeterminee , un seul bit a la fois 

20 pouvant etre a 1 pendant que les autres sont a 0 . 

Dans ce qui suit, on considerera que les bits bO a 
bn sont affectes a la designation de zones memoire 
comprenant des programmes tandis que les bits bn+1 a bm 
sont affectes a la designation de zones memoire 

25 comprenant des donnees. Les zones programme sont par 
exemple localisees dans la memoire MEM1 (ROM) tandis que 
les zones de donnees sont localisees dans les memoires 
MEM2 et MEM3 . 

Les bits bO-bn du code CIM sont appliques a 
30 1 1 entree d'un verrou LT1 ("latch") pilote par un signal 
de chargement LOAD1 delivre par le microprocesseur MP. 
Lorsque le signal LOAD1 est applique au verrou LT1, la 
sortie du verrou recopie 1' entree du verrou et delivre un 
code CIP1 d ' identification de zones programme.. 
35 Le code CIP1 est applique a 1' entree d'un second 

verrou LT2 pilote par un signal de chargement LOAD 2 et un 
signal RST de remise a zero delivres par le decodeur 
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DEC2 . Lorsque le signal LOAD 2 est applique au verrou LT2 , 
la sortie du verrou delivre un code CIP2 qui recopie le 
code CPU present en entree. 

Les codes CIP1 et CIP2 sont combines pour former un 
5 code resultant CIP3 qui est applique sur une entree El 
d'une table d ' attribution de droits TDA, recevant sur une 
entree E2 le» code CIM delivre par le decodeur DEC1 . Dans 
le present mode de realisation, la combinaison des codes 
CIP1, CIP2 est assuree par une porte OU 11 dont la sortie 

10 delivre un code CIP3 egal a la somme logique bit a bit 
des codes CIP1 et C1P2 . 

La table d * attribution TDA comporte une sortie OUT 
constitute par des sorties elementaires S 0 -S n/ chaque 
sortie S 0 -S n correspondant a une entree elementaire de 

15 meme rang El x . . . El n de 1* entree El, recevant 1 1 un des 
bits du code CIP3 . Les sorties S 0 -S n delivrent des droits 
d'acces sous forme de bits d * autorisation a 0 a a n . Un bit 
d ' autorisation a. ± est egal a 1 lorsque 1' entree 
correspondante El ± revolt un bit 1d l egal a 1 et lorsque 

20 le code CIM applique sur 1' entree E2 comprend un bit bj 
egal a 1 formant avec le bit h L une combinaison autorisee 
{bi, bj} de bits a 1. Les combinaisons autorisees {h it bj } 
sont enregistrees dans la table une fois pour toutes et 
definissent des droits permanents. 

25 Le signal LOAD1 de chargement du verrou LT1 est 

delivre par le microprocesseur MP quand celui-ci lit ou 
est sur le point de lire une instruction dans la memoire 
MEM1 (cycle de lecture ou cycle "fetch" du 
microprocesseur). A cet instant, I'adresse ADR presente 

30 sur le bus d'adresse est I'adresse I ADR de 1 1 instruction, 
delivree par le compteur ordinal PC du microprocesseur. 
Ainsi, le code CIM delivre par le decodeur DEC1 comprend 
un bit bi a 1 qui designe la zone memoire comprenant 
cette instruction. Ce bit b ± se retrouve dans le code 

35 CIP1 enregistre par le verrou LT1, et sur 1 ' entree El de 
la table TDA. 
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Par ailleurs, le signal LOAD 2 est delivre par le 
decodeur DEC2 lorsque celui-ci detecte sur le bus 1 
l'adresse ADRin de la premiere instruction d ! un sous- 
programme partage, et le signal RST est delivre par le 
5 decodeur DEC2 lorsque celui-ci detecte sur le bus 
d'adresse l'adresse ADRout de la derniere instruction du 
sous -programme . Les adresses ADRin, ADRout sont 
predeterminees et representent l'adresse d' entree et 
l'adresse de sortie du sous -programme considere. Si 

10 plusieurs sous -programmes sont partages par* des 
programmes, le decodeur DEC2 est agence pour detecter les 
adresses d" entree et de sortie de chacun des sous- 
programmes, et emettre le signal LOAD 2 ou le signal RST 
quand l'une de ces adresses est detectee . 

15 Le systeme 10 selon 1 ' invention fonctionne de fagon 

classique pendant 1 'execution d'un programme, car la 
sortie du verrou LT2 est a 0, le code CIP3 applique a la 
table TDA etant ainsi egal au code CIP1. Pendant 
1' execution du programme, apres le chargement de chaque 

20 nouvelle instruction, il est frequent que l'adresse 
courante ADR sur le bus d'adresse change et designe une 
autre zone de la memoire, par exemple lorsque 
1 ' instruction en cours d 1 execution est une instruction de 
lecture ou d'ecriture dans le plan memoire. Dans ce cas, 

25 le code CIM delivre par le decodeur DEC1 change de valeur 
et presente un bit bj a 1 different, qui designe la zone 
memoire correspondante . Si la combinaison {bi, bj } 
appliquee a la table TDA est autorisee, la sortie Si de 
la table reste a 1. Sinon, la sortie S i passe a 0 et le 

30 signal de violation VLT passe a 1. Apres 1' execution de 
1 ' instruction, l'adresse IADR de la nouvelle instruction 
est emise sur le bus d'adresse et entraine un autre 
changement du code CIM et la verification automatique 
dans la table TDA d'une autre combinaison {bi, bj} de 

35 bits de code. Si cette adresse correspond a un saut dans 
un sous -programme , une autorisation correspondante doit 
etre prevue dans la table TDA. 
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Le fonctionnement du systeme 10 selon 1 ' invention 
differe d'un systeme de controle d'adresse classique 
lorsque le programme comprend une instruction de saut ou 
de branchement vers un sous -programme partage . A 
5 1 ' instant ou l'adresse ADRin de la premiere instruction 
du sous -programme se trouve sur le bus d'adresse, le 
decodeur DEG2 delivre le signal LOAD 2 et le verrou LT2 
enregistre le code CIP1 avant que le microprocesseur ne 
bascule dans le sous -programme . Ainsi, lorsque le 

10 microprocesseur a bascule dans le sous -programme , le code 
CIP1 a la sortie du verrou LT1 designe la zone memoire 
contenant le sous -programme tandis que le code CIP2 a la 
sortie du verrou LT2 designe la zone memoire dans 
laquelle se trouve le programme ayant appele le sous- 

15 programme. Le code CIP1 identifie ainsi le sous -programme 
en cours d 1 execution et le code CIP2 identifie le 
programme ayant appele le sous -programme . 

Les codes CIP1, CIP2 etant combines ici dans la 
porte OU 11, la table TDA regoit sur son entree El un 

20 code CIP3 qui comprend deux bits b ± a 1 au lieu d'un 
seul, le premier correspondant au sous -programme en cours 
d' execution et le second au programme ayant appele le 
sous -programme . L ' application a la table TDA du bit b ± 
correspondant au programme appelant autorise des 

25 combinaisons de bits {lD if bj } avec les bits du code CIM 
qui sont specif iques au programme appelant. Le sous- 
programme appele "herite" ainsi, pendant son execution, 
des droits, conferes au programme appelant. Ces droits 
transferes au sous -programme s 1 additionnent aux droits 

30 permanents qui lui sont attribues, ces droits pouvant 
toutefois etre choisis nuls . 

Le systeme 10 selon 1' invention realise ainsi une 
attribution dynamique de droits a un sous -programme 
appele, qui cesse lorsque le microprocesseur retourne 

35 dans le programme appelant, au moment ou le decodeur DEC2 
detecte l'adresse de sortie ADRout du sous -programme et 
remet le code CIP2 a zero. 
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En pratique, le signal VLT qui est emis lorsqu'une 
violation d'un droit permanent ou temporaire se produit, 
peut etre utilise de diverses manieres pour empecher 
l'acces a la zone memoire interdite. Comme represents en 
5 figure 1, le signal VLT est par exemple applique sur une 
entree d'un decodeur d ' interruption ITDEC dont la sortie 
delivre l'adresse ITADR d'un sous -programme de traitement 
des cas de violation d'adresse. L'adresse ITADR est 
appliquee sur une entree d'un multiplexeur MUX qui regoit 

10 sur une autre entree l'adresse I ADR de 1 ' instruction 
suivante, delivree par le compteur ordinal PC. Le 
multiplexeur est pilote par un signal IT delivre par le 
decodeur ITDEC et delivre au bus d'adresse l'adresse 
ITADR au lieu de l'adresse I ADR lorsque le signal IT est 

15 emis. Dans une variante de realisation, le signal VLT est 
utilise pour forcer a 0 le signal de remise a zero du 
microprocesseur (RESET) , de maniere a desactiver ce 
dernier. Dans une autre variante, le signal VLT est 
utilise pour generer une interruption non masquable . 

20 Le f onctionnement du systeme 10 selon 1' invention 

sera mieux compris a la lumiere d'un exemple simple de 
mise en ceuvre qui est illustre en figure 2. 

La figure 2 represente le plan memoire du 
microprocesseur dans lequel certaines zones memoire sont 

25 reservees a des applications, les autres etant 
strictement interdites et representees hachurees . On 
distingue ainsi une zone A dans laquelle est enregistre 
un programme PGA, une zone B dans laquelle est enregistre 
un programme PGB, une zone C dans laquelle est enregistre 

30 un sous -programme LIB (librairie) partage par les 
programmes PGA et PGB , une zone de donnees D reservee en 
ecriture et en lecture au programme PGA, une zone de 
donnees E reservee en ecriture et en lecture au programme 
PGB, une zone de donnees F reservee en ecriture et en 

35 lecture au sous -programme LIB, et une zone G disponible 
en ecriture et lecture aux trois programmes PGA, PGB, 
LIB. Les zones A, B, C sont par exemple agencees dans la 
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memoire MEM1 (ROM) , les zones D, E , F agencees dans la 
memoire MEM2 (EEPROM) et la zone G dans la memoire MEM3 
(RAM). Comme represents, le code CIM d ' identification des 
zones memoire comprend ainsi sept bits de code bO a b6 
5 affectes respectivement a 1 • identification des zones A a 
G, et les codes CIP1, CIP2 d 1 identification des zones 
programme comprennent les bits bO, bl et b2 . 

Dans cet exemple, on souhaite que le sous -programme 
LIB beneficie des droits du programme PGA ou PGB qui 

10 I'appelle, de maniere que le programme PGA puisse 
demander au sous -programme d'enregistrer dans la zone D 
des resultats d'etapes de calcul et que le programme PGB 
puisse demander au sous -programme d'enregistrer dans la 
zone E de tels resultats, les zones F et G etant 

15 utilisables en tant que droits permanents par le sous- 
programme pour stocker des resultats temporaires. 

Dans 1 ' art anterieur, la solution pour atteindre 
cet objectif pourrait consister dans le fait d'attribuer 
au sous -programme des droits permanents sur les zones D 

20 et E, mais cela const it uerait une breche dans le 
cloisonnement du plan memoire. 

Selon 1* invent ion, les droits sur l'une des zones D 
et E sont attribues temporairement au sous -programme en 
fonction du programme appelant, au moment ou le 

25 microprocesseur entre dans le sous -programme . 

Pour fixer les idees, la figure 3 represente un 
exemple de realisation d'une table TDA1 permettant de 
generer une telle attribution de droits temporaires. La 
table TDA1 comprend trois lignes horizontales LHO a LH2 , 

30 sept lignes verticales LVO a LV6 et trois lignes de 
sortie LSO a LS2 . Afin de faciliter la comprehension de 
ce qui suit, les bits du code CIP1 d ' identification du 
programme en cours d' execution sont references bO 1 a b2 ' 
et les bits du code CIP2 d ' identification du programme 

35 appelant le sous -programme sont references bO" a b2" . 

Les lignes verticales LVO a LV6 regoivent 
respectivement les bits bO a b6 du code CIM . La ligne LHO 
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revolt le resultat de 1' addition logique des bits bO ' et 
bO" . La ligne LHI regoit le resultat de 1' addition 
logique des bits bl ' et bl u . La ligne LH2 regoit le bit 
b2 1 seulement, car le bit b2" est tou jours a 0. Les 

5 lignes LSO a LS2 delivrent respectivement des bits 
d' autorisation aO a a2 qui sont combines dans la porte 12 
pour former le signal VLT. 

Les droits permanents d'acces au plan memoire a 
attribuer aux programmes PGA, PGB et au sous -programme 

10 LIB sont materialises par des transistors MOS Ti,j 
agences aux croisements des lignes horizontales LHi et 
des lignes verticales LVj . Un transistor Ti,j agence au 
croisement de deux lignes LHi, LVj est connecte par sa 
grille a la ligne LHi, par son drain a la ligne LVj et 

15 par sa source a la ligne de sortie LSi. Ici, on distingue 
ainsi des transistors aux croisements de la ligne LHO 
avec les lignes LVO , LV2 , LV3 et LV6 , qui determinent les 
droits permanents du programme PGA sur sa propre zone 
memoire A, sur la zone C contenant le sous -programme LIB 

20 et sur les zones D et G (fig. 2) . On distingue egalement 
des transistors au croisement de la ligne LHI avec les 
lignes LV1, LV2 , LV4 et LV6 , qui determinent les droits 
permanents du programme PGB, et des transistors au 
croisement de la ligne LH2 et des lignes LV2 , LV5 et LV6 , 

25 qui determinent les droits permanents du sous -programme 
LIB sur sa propre zone memoire C et sur les zones F et G. 

Le fonctionnement de la table TDA1 est. en soi 
classique en ce qui concerne 1 ' attribution des droits 
permanents aux programmes PGA, PGB, LIB. Chaque ligne de 

30 sortie LSO a LSI est maintenue a 0 par une resistance, 
respectivement rl a r3 , et est portee a 1 lorsqu'un 
transistor Ti,j connecte par sa source a la ligne de 
sortie regoit un bit a 1 sur sa grille et sur son drain, 
le " 1" logique correspondant a la tension d ' alimentation 

35 du systeme . 

L' attribution des droits temporaires et permanents 
du sous -programme intervient lorsque le microprocesseur 
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bascule dans le sous -programme . A cet instant, le bit b2 ' 
du code CIP1 est a 1, ce qui active les droits du sous- 
programme. De plus, le bit bO" ou le bit bl" du code CIP2 
est egalement a 1 selon que le sous -programme a ete 
5 appelee par le programme PGA ou PGB, ce qui maintient les 
droits du programme PGA ou PGB au benefice du sous- 
programme . 

Bien entendu, la table TDA1 est en elle-meme 
susceptible de diverses variantes de realisation, 

10 notamment en logique inversee, qui sont a la portee de 
1 ' homme de 1 ' art . 

Par ailleurs, bien que 1 ' on ait propose dans ce qui 
precede de transferer a un sous -programme les droits du 
programme appelant, diverses autres variantes de la 

15 presente invention peuvent etre prevues en ce qui 
concerne 1 ' etendue des droits temporaires attribues a des 
sous -programmes . 

A titre d'exemple, la figure 4 represente une table 
TDA2 ayant les memes lignes verticales LVO a LV6 que la 

20 table TDA1 mais comprenant quatre lignes horizontales LHO 
a LH3 recevant respect ivement les bits bO ' , bl ' , bO" et 
bl" sans combinaison logique de ces bits. Les transistors 
Ti,j aux intersections des lignes sont representes 
schematiquement par des points relies par des fleches aux 

25 lignes de sortie, ici quatre lignes LSO a LS3 . Aucune 
ligne horizontale n'est prevue ici pour attribuer des 
droits permanent s au sous -programme LIB, qui sont done 
nuls dans cet exemple mais pourraient egalement etre 
prevus non nuls. 

30 La table TDA2 differe de la table TDA1 en ce que 

les lignes LHO et LH1 definissent les droits permanents 
des programmes PGA et PGB tandis que les lignes LH2 , LH3 , 
qui ne sont activees que par les bits bO" et bl" , 
definissent les droits temporaires du sous -programme LIB. 

35 Les lignes LH2 , LH3 etant distinctes et independantes des 
lignes LHO, LH1 , il est possible d' attribuer au sous- 
programme, en fonction du programme appelant, des droits 



14 



temporaires distincts des droits permanents du programme 
appelant. Ainsi, dans 1 ' exemple represents, les 
transistors Ti,j sont agences de maniere que soient 
attribues : 

5 - au programme PGA, des droits sur sa propre zone 
programme A, des droits sur la zone programme C du sous- 
programme LIB et des droits sur la zone G, 

au programme PGB, des droits sur sa propre zone 
programme B, des droits sur la zone programme C du sous- 
10 programme LIB et des droits sur la zone G, 

- au sous -programme LIB, lorsqu'il est appele par le 
programme PGA, des droits sur sa propre zone programme C 
et des droits sur les zones E et G, 

- au sous -programme LIB, lorsqu'il est appele par le 
15 programme PGB, des droits sur sa propre zone programme C 

et des droits sur les zones F et G, 

En definitive, la prevision de deux lignes 
particulieres LH2 , LH3 recevant les bits b0" , bl" 
enregistres par le verrou LT2 au moment du basculement 

20 dans le sous -programme , permet d'attribuer au sous- 
programme des droits particuliers qui dependent du 
programme appelant tout en etant independant des droits 
de ce dernier. 

Par ailleurs, il apparait dans cet exemple que les 

25 droits attribues au sous -programme LIB sont egalement 
attribues a tout autre sous -programme susceptible d'etre 
appele par les programmes PGA et PGB, puisque 
1 ' attribution de droits ne repose que sur les bits bO", 
bl" du code CIP2 . 

30 La figure 5 represente une table TDA3 qui est 

similaire a la table TDA2 mais dans laquelle la ligne LH2 
req:oit le bit bO" combine au bit b2 ' au moyen d'une porte 
ET, et la ligne LH3 regoit le bit bl" combine au bit b2 1 
au moyen d'une autre porte ET. Dans ce cas, la ligne LH2 

35 ou la ligne LH3 ne peut etre activee qu ' a la double 
condition que le bit b2 ' soit egal a 1 et que le bit bO" 
ou bl" soit egalement a 1. Ainsi, le transfert temporaire 
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de droits est reserve ici au sous -programme LIB a 
1' exclusion de tout autre sous -programme eventuel . 

La presente invention est bien entendu susceptible 
de diverses autres variantes et modes de realisation 
5 bases sur le principe selon 1 ' invention d'un transfert de 
droits temporaires a des sous -programmes par memorisation 
de 1 ■ identite du programme appelant. Notamment, des 
transferts de droits en cascades pourraient etre prevus 
pour des sous -programmes de deuxieme niveau appeles par 

10 des sous -programmes de premier niveau qui sont eux-memes 
appeles par des programmes principaux. 

Enfin, bien que les modes de realisation de tables 
d' attribution de droits qui sont decrits plus haut ont 
ete presentes sous la forme de circuits matriciels a 

15 transistors, dans le souci de faciliter la comprehension 
de l f invention, il doit etre note qu * une table 
d ' attribution de droits selon 1' invention est susceptible 
en pratique de revetir diverses autres formes. Notamment, 
une telle table est realisable sous la forme d'un circuit 

20 a logique booleenne genere automat iquement par un 
compilateur de langage VHDL, cette methode de generation 
automatique de circuits logiques a partir d'une fonction 
ecrite en langage de haut niveau ayant connu un important 
essor ces dernieres annees. 
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REVEND I CAT IONS 

^/ 1. Microprocesseur securise (MP) comportant un 
systeme (10) pour attribuer a des programmes executables 
par le microprocesseur des droits permanents d'acces a 
certaines zones (A-G) du plan memoire (MEM1-MEM3) du 

5 microprocesseur, caracterise en ce que le systeme 
d 1 attribution de droits (10) comprend des moyens (DEC2 , 
LT2) pour conferer a un sous -programme (LIB) partage par 
au moins deux programmes ( PGA, PGB) des droits 
temporaires d'acces a certaines zones memoire lorsque le 

10 sous -programme est appele par 1 ' un desdits programmes, 
1 ' etendue des droits temporaires etant fonction du 
programme appelant le sous - programme . 

/2. Microprocesseur selon la revendication 1, 
15 caracterise en ce que le systeme d ' attribution de droits 
(10) comprend des moyens (TDA, TDA1, 11) pour conferer 
temporairement a un sous -programme (LIB) les droits du 
programme appelant (PGA, PGB) . 

20 / 3. Microprocesseur selon 1 * une des revendications 1 

et 2, caracterise en ce que le systeme d ' attribution de 
droits comprend des moyens (TDA, TDA1, 11) pour conferer 
en outre a un sous -programme des droits permanents (F, G) 
independants de ceux du programme appelant. 

25 

^4. Microprocesseur selon 1 ' une des revendications 1 
a 3, caracterise en ce que le systeme d ' attribution de 
droits comprend : 

- une table (TDA, TDA1, TAD2 , TDA3 ) d ■ attribution de 
30 droits agencee pour recevoir sur une premiere entree (El) 
un code (CIP1, bO-bn) d ' identification d'un programme ou 
d'un sous -programme et sur une deuxieme entree (E2) un 
code (CIM, bO-bm) d ' identification des zones memoire 
designees par les adresses courantes (ADR) circulant sur 
35 le bus d'adresse du microprocesseur, et 
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- des moyens (DEC2, LT2 ) pour appliquer sur la premiere 
entree (El) de la table d ■ attribution de droits, pendant 
l 1 execution d'un sous -programme , un code (CIP2) 
d 1 identification du programme ayant appele le sous- 

5 programme . 

, 5. Microprocesseur selon la revendication 4, 
caracterise en ce que le systeme d 1 attribution de droits 
comprend des moyens pour appliquer simultanement sur la 
10 premiere entree (El) de la table d 1 attribution de droits, 
pendant 1 'execution d'un sous -programme , un code (CIP1) 
d' identification du sous -programme en cours d'execution 
et un code (CIP2) d ' identification du programme ayant 
appele le sous programme. 

15 

/ 6 . Microprocesseur selon la revendication 5, 
caracterise en ce que ce que des bits (bO 1 , bl ■ ) du code 
(CIP2) d' identification du sous -programme en cours 
d'execution et des bits (b0" , bl") du code 
20 d * identification du programme ayant appele le sous 
programme sont combines par une fonction logique (11) 
avant d'etre appliques sur la premiere entree (El) de la 
table d' attribution de droits (TDA, TDA1 , TDA3 ) . 

25 7. Microprocesseur selon l'une des revendications 4 

a 6, caracterise en ce que le systeme d ' attribution de 
droits comprend : 

- un premier verrou (LT1) pour stocker ( LOAD 1 ) pendant 
li execution d'une instruction le code (CIP1) 

30 d ' identification du programme ou du sous -programme en 
cours d'execution, 

- un second verrou (LT2) ayant son entree reliee a la 
sortie du premier verrou, agence pour stocker (LOAD 2 ) le 
code (CIP1) d' identification d'un programme en cours 

35 d'execution lorsque le microprocesseur bascule dans un 
sous -programme, pour former le code (CIP2) 
d' identification du programme ayant appele le sous- 
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programme, le second verrou etant remis a zero (RST) 
lorsque le microprocesseur quitte le sous -programme . 

/ 8. Microprocesseur selon la revendication 7, 
5 caracterise en ce que le chargement et la remise a zero 
du deuxieme verrou (LT2) sont controles par un decodeur 
d'adresse (*DEC2) recevant en entree les adresses 
courantes (ADR) circulant sur le bus d'adresse, agence 
pour appliquer un signal de chargement (LOAD2) au second 
10 verrou lorsque l'adresse (ADRin) de la premiere 
instruction d'un sous -programme est detectee, et delivrer 
au second verrou un signal de remise a zero (RST) lorsque 
l'adresse (ADRout) de la derniere instruction du sous- 
programme est detectee. 

15 

-~ 9. Microprocesseur selon 1 ' une des revendications 4 
a 8, caracterise en ce que les codes (CIM) 
d ! identification des zones memoire designees par les 
adresses courantes et les codes (CIP1) d ' identification 
20 des programmes et sous -programmes en cours d' execution 
sont delivres par un decodeur d'adresse (DEC1) recevant 
en entree les adresses courantes circulant sur le bus 
d ' adresse . 

25 ' 10. Microprocesseur selon 1 ' une des revendications 

1 a 8, caracterise en ce que le systeme d ' attribution de 
droits (10) emet un signal de violation (VLT) quand une 
adresse presente sur le bus d'adresse ne correspond pas 
aux droits attribues de fagon permanente ou temporaire au 

30 programme ou sous -programme en cours d' execution. 

/II- Microprocesseur selon la revendication 10, 
caracterise en ce que le signal de violation d'adresse 
(VLT) est traite par un decodeur d ' interruption (ITDEC) 
35 pour envoyer le microprocesseur dans un sous -programme 
(ITADR) de traitement des violations d'adresse. 
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